Gobierno y Ética

Gobierno

Modelo Organizativo

Decreto Legislativo 231/01, titulado «Disciplina de la responsabilidad administrativa de las personas jurídicas, empresas y asociaciones, incluidas las de sin personalidad jurídica» de conformidad con el artículo 11 de la Ley 29.9.2000 no. 300, introdujo por primera vez en Italia la responsabilidad de las entidades por infracciones administrativas dependientes de un delito cometido por particulares en interés o en beneficio de las propias entidades. Por tanto, se introdujo una responsabilidad independiente de la entidad por los delitos derivados de su propio ámbito y que se suma (distinguiéndose) a la responsabilidad específica del autor material del delito.

Namirial S.p.a. es la sociedad matriz de un grupo de empresas que operan en el sector de las Tecnologías de la Información. La empresa matriz es responsable de las actividades estratégicas, de desarrollo, coordinación y control, así como de algunas actividades del personal centralizado. Las principales herramientas de gobierno que la compañía ha adoptado se pueden resumir a continuación.

Código Ético

Los estatutos sociales, que, de acuerdo con las disposiciones legales vigentes, incluyen diversas disposiciones relativas al gobierno corporativo destinadas a asegurar el buen desarrollo de las actividades de gestión.

Un organigrama de funciones que permita comprender la estructura societaria, la división de responsabilidades y los sujetos a quienes se asignen dichas responsabilidades.

Los contratos de servicios entre empresas que regulan formalmente la prestación de servicios entre las empresas del grupo, asegurando la transparencia de los objetos de los servicios prestados y los costes relacionados.

Un sistema de protocolos (manuales, procedimientos, instructivos) destinados a regular de manera clara y efectiva los procesos relevantes de la compañía.

Namirial S.p.a. también define las directrices del grupo, con el objetivo de abordar y homogeneizar al máximo los métodos de gestión de procesos específicos dentro del grupo.

El conjunto de herramientas de gobierno adoptado por Namirial S.p.a. y las disposiciones de este modelo permiten identificar, con respecto a todas las actividades, cómo se forman e implementan las decisiones de la entidad (artículo 6, párrafo 2, letra B del Decreto Legislativo 231/01).

Declaración de seguridad cibernética

Seguridad de la información

El Grupo Namirial (el «Grupo») es la entidad organizativa que identifica a la empresa Namirial S.p.A y sus filiales o empresas propias. Por subsidiaria (la «Subsidiaria») entendemos cualquier empresa controlada por Namirial S.p.A, cuyo 50% o más de las acciones en circulación son propiedad de Namirial S.p.A y sus subsidiarias directas o indirectas y de las cuales la empresa posee, directa o indirectamente, el poder para dirigir o hacer que la dirección de la gestión o las políticas, ya sea a través de la propiedad de los derechos de voto, a través de acuerdos o de otra manera.

Para nosotros, “Seguridad de la información” significa asegurar que toda la información y los sistemas de información de los que depende el Grupo, incluidos los relativos a los datos de clientes, empleados y socios comerciales, estén adecuadamente protegidos, garantizando la seguridad de los servicios de la empresa y la continuidad de nuestras actividades. La situación actual, caracterizada por la continua evolución de las amenazas cibernéticas y las regulaciones más estrictas impuestas por las autoridades, presenta varios desafíos importantes para las empresas.

Sistemas de seguridad

Nos preocupamos de que el grupo esté constantemente equipado con los sistemas de seguridad adecuados, con el fin de ser cada vez más fiables para nuestros intereses.

En particular, nos comprometemos a:

  • Proteger los servicios de la empresa y fortalecer los estándares de seguridad
  • Definir estándares internos de seguridad y monitorizar su aplicación
  • Definir un proceso sólido de gestión de riesgos de TI
  • Asegurar la implementación de medidas de seguridad para la gestión de ciberataques.
  • Aumentar la conciencia y la comprensión del problema entre todos los empleados

Por lo tanto, hemos desarrollado una estrategia para mejorar continuamente el nivel de seguridad del Grupo en cuatro áreas clave.

4 áreas clave para mejorar la seguridad

Capacitación empresarial

Prepárate para las nuevas amenazas cibernéticas que afectan a los nuevos negocios digitales y apoya el desarrollo empresarial.

Nuevas amenazas cibernéticas

Sé resistente a los ciberataques con capacidades adecuadas de prevención, detección y respuesta.

Gobierno

Ser eficiente en la gestión del proceso de seguridad de la información, abordar la gestión de riesgos de TI y garantizar el cumplimiento normativo.

Personas, habilidades y formación

Sé consciente de los riesgos de TI y adquiere las habilidades necesarias para enfrentar nuevos desafíos de TI.

Programa de Transformación de la Ciberseguridad

El Grupo ha desarrollado un programa de seguridad de TI a largo plazo para abordar los problemas de seguridad de TI analizados. Este programa incluye contramedidas apropiadas para situaciones específicas. Todos los proyectos definidos e incluidos en el programa se revisan periódicamente de acuerdo con un cronograma, mientras que la estrategia a largo plazo se revisa anualmente.

El programa de seguridad informática fue aprobado por la Dirección del Grupo.

Para fortalecer la seguridad informática y la gestión de riesgos, el Consejo de Administración ha creado un comité de dirección específicamente dedicado a definir y desarrollar la estrategia de seguridad del Grupo, así como a gestionar y controlar los riesgos informáticos corporativos. Este comité, que opera a nivel de grupo, se denomina Comité Directivo de Riesgos TI y Seguridad Corporativa y sus miembros efectivos son el CEO, CFO, CHRO, CTO y CISO.

Creemos que el factor humano es fundamental para proteger nuestra información. De hecho, hemos desarrollado un programa de concienciación sobre seguridad cibernética para todos nuestros empleados en forma de ataques de phishing simulados periódicamente y una miniserie de videos instructivos. Todo el material está disponible en los portales internos dedicados al personal. Estas acciones cubren áreas específicas de ciberseguridad, como la seguridad de teléfonos inteligentes y tabletas y la ingeniería social.

Namirial S.p.A, la empresa del Grupo que presta servicios de confianza digital y otros servicios regulados por la AgID, también proporciona servicios e infraestructuras de TI a las principales empresas del Grupo y está certificada según las siguientes normas:

  • ISO/IEC 27001: 2013
  • ISO/IEC 27017:2015
  • ISO/IEC 27018:2015
  • Reglamento (UE) 910/2014 eIDAS como prestador cualificado de servicios de confianza
  • ETSI EN 319 401 para el servicio de confianza de identificación electrónica
  • Reglamento (UE) 910/2014 eIDAS punto 24 para la prestación de servicios de confianza para la conservación de documentos informáticos
  • Regulación AgID para el almacenamiento a largo plazo de documentos
  • Regulación AgID para SPID (Sistema público italiano de identidad digital)

Las certificaciones de la serie ISO/IEC 27k se han hecho a medida para implementar los estándares sectoriales relacionados con los servicios de Namirial sin exclusiones en la Declaración de Aplicabilidad; los controles de seguridad reflejan los exigidos por la norma ETSI 319 401 y las directivas AgID.

Desde 2010 nos hemos sometido a auditorías anuales para las certificaciones ISO/IEC y todos los estándares anteriores por parte de Bureau Veritas y el organismo nacional de supervisión AgID, además de ser auditados periódicamente para los estados financieros.

El cumplimiento de estas normas está garantizado por el Comité Directivo de Riesgos Legales y de Cumplimiento Corporativo formado por el CFO, los gerentes legales y de cumplimiento y el auditor líder.

Para evitar conflictos con las normas y reglamentos por los cuales la empresa es auditada, y en virtud de las certificaciones que posee, Namirial no implementa en sus servicios las políticas de seguridad específicas emitidas y proporcionadas por sus clientes.

Asimismo, dada la criticidad de los servicios prestados, Namirial no comparte documentos o información relativa a sus sistemas y controles de seguridad para atender solicitudes de ampliaciones y aclaraciones sobre la seguridad de la información adelantadas por terceros, ya sean Clientes, Proveedores y/o Socios.

Para ello, Namirial cuenta con certificaciones internacionales y técnicas visibles y accesibles en sitios públicos con valor legal y contractual. De hecho, la protección de la confidencialidad, integridad y disponibilidad de la información, objeto de las actividades de Namirial, podría verse comprometida si alguna información se pusiera a disposición fuera del contexto de Namirial y/o estuviera de alguna manera sujeta a cualquier forma de publicación no autorizada. Además, algunos sistemas y protecciones están parcial o totalmente integrados en servicios sujetos a restricciones técnicas, regulatorias, contractuales y de seguridad legal, por lo que no serán revelados a terceros.

Namirial se adapta continuamente al panorama de ciberseguridad en evolución y para hacer frente a las amenazas a nuestros sistemas y aplicaciones. Sin embargo, para mantener segura la información de nuestros clientes y empleados, la tecnología por sí sola no es suficiente, es necesario que los empleados, clientes y socios estén alerta y sepan reconocer e informar de los problemas. Por esta razón, permitimos a nuestros clientes y socios que envíen vulnerabilidades y/o eventos de seguridad que puedan descubrir en cualquier sitio web o aplicación pública que sea propiedad de Namirial, operada o controlada por ella, a través de un Programa de Divulgación Responsable.